privilege level / privilege exec



 ◆ Cisco IOS - 特権レベル

 Cisco IOSではデフォルトで次の3つの特権レベルが存在します。なお、本ページで解説する設定は一般的に
 企業ネットワークに適用するコンフィグ設定ではありません。
特権レベルの制御はAAAサーバ側で実装させ
 ローカルユーザとして username 〜 privilege 15 secret 〜 だけを保持させておくという形が一般的です。

特権レベル 説明
privilege level 0

 disable、enable、exit、help、logout などの基本コマンドが含まれた特権レベル

privilege level 1

 ユーザモードのデフォルトレベル。ユーザEXEC。プロンプトは「 router>

privilege level 15

 イネーブルモードの特権レベル。イネーブルEXEC。プロンプトは「 router#


 コンソールやVTY(telnet/SSH)接続したログインユーザは、デフォルトで特権レベル 0 と 1 に属します。
 そして、enableパスワード or enable secretパスワードを使用して認証を受けたユーザには特権レベル 15 が
 付与されます。デフォルトでは特権レベル 2 〜 14 は使用されませんが、例えばpriviledgeレベル 15に属する
 コマンドの特権レベルを引下げたり、privilegeレベル1に属するコマンドの特権レベルを引上げることも可能。

 特権レベルが引上げられたり、引き下げられたりしたコマンドは以前の特権レベルでは発行できなくなります。
 特権レベルの確認は
show privilege で分かります。これらの特権設定はAAAサーバ(TACACS+/RADIUS)や
 Ciscoルータの
ローカルで行えます。Ciscoルータでローカルユーザに特権レベルを割り当てる設定は以下です。

 ◆ ローカルのログインユーザの特権設定
 (config)# username name [ privilege level ] secret password

 ◆ ユーザ(test01)には特権レベル10を付与して、ユーザ(test02)には特権レベル15を付与する設定

 Cisco(config) # username test01 privilege 10 secret test01

 Cisco(config) # username test02 privilege 15 secret test02



 ◆ ログイン時にローカルユーザ/ローカルパスワードを使用するための設定( line vtyやlocal console 0にlocal loginが必要 )

 Cisco(config) # line vty 0 15

 Cisco(config-line) # local login



 ◆ 特権レベルの設定変更

 ネットワーク管理者は、どの特権レベルにどのコマンドが属させるのかを厳密に定義することができます。

 ◆ 特権レベルの設定変更
 (config)# privilege mode level
level command

特権レベル 説明
mode


 modeには、グローバルコンフィグモードの場合は
configure、EXECモードの場合は exec
 インターフェースコンフィグモードの場合は
interface、ラインコンフィグモードの場合は line
 をそれぞれ入力する。

level

 0 〜 15の範囲で特権レベルを指定。

command

 アクセス制限をしたいコマンドを指定。


 ◆ 権限レベルをイネーブルにするためのパスワードを指定
 (config)# enable password level
level password


 コマンドをある特権レベルに設定すると、そのコマンドのサブセットであるコマンドは全てそのレベルに設定
 されます。 例えば show ip traffic コマンドをレベル15に設定すると、showコマンドとshow ipコマンドは、
 それぞれを個別に別のレベルに設定しないかぎり、show ip traffiicの指定によりこれらを含めて全て自動的に
 レベル 15 に設定されます。つまり、特権レベル1〜14のユーザは show ip traffic だけでなく show コマンド
 の全てが入力できないようになります。

 ◆ configure コマンドを権限レベル10にし、レベル10のコマンドを使用する場合にユーザが入力するパスワードはCisco55と設定

 Cisco(config) # privilege exec level 10 configure
 Cisco(config) # enable password level 10 Cisco55


 指定した権限レベルでパスワードを入力したい場合は、enableコマンドの後に特権レベルを指定します。
 Cisco> enable 10




 ◆ Line ログイン時のデフォルトの権限レベルの変更

 仮想端末回線(Line)にログインすると、デフォルトでは、特権レベル1のユーザEXECモードに移行しますが
 このデフォルト値(特権レベル 1)は変更することができます。設定例では、line vty 0 15 にログインする
 全てのユーザが、ログイン後デフォルトでイネーブルEXECモード(特権レベル15)のステータスとなります。
 つまり、ログイン後 enable と入力しなくても特権モードであるので、検証環境では重宝する設定と言えます。


 Cisco(config) # line vty 0 15
 Cisco(config-line) # privilege level 15




L2 セキュリティの技術

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.